據CERT的一位安全專家Jason Milletary說�,所謂“釣魚式攻擊(phishing attacks)”����,就是別有用心者使用欺詐性郵件����,將自己假扮成銀行或其它法律機構��,從而從用戶那里獲取有用的個人信息�。在一份聲明中,Milletary警告說“那些進行釣式攻擊和在線金融詐騙的不法分子攻擊的對象種類越來越多�,采用的技術也日益復雜?�!?/P>
CERT還指出“釣魚者(phishers)”正在使用更惡意的代碼來攻擊用戶的帳戶信息�。“和真正的漁夫一樣�,現在那些‘釣魚者’擁有各式各樣的捕釣工具?!?Milletary說。
Spectrum系統(tǒng)咨詢公司副總裁Vit Kantor說金融部門正面臨一場真槍實彈的戰(zhàn)爭�。“現在要發(fā)現那些隱藏在幕后的令人厭惡的東西變得越來越困難了����。”Kantor補充說�����,為了讓他們的偽造的網站看上去更真實可信,“捕釣者”們越來越擅長于將Web瀏覽器重新定向到偽造的站點�。
但是Vit Kantor認為銀行需要慎重考慮一下后端存儲系統(tǒng)上的盜竊密碼所造成的影響。他說:“這絕對是至關重要的��。他們需要在整個基礎架構中實施風險管理策略��,而不只是停留在用戶認證上��?���!?/P>
Kantor表示,銀行應該配置數據庫訪問與監(jiān)管軟件���,以便檢驗是誰試圖掌握后端數據?!皯撚幸粋€裝置來控制對內部資源的訪問?��!?/P>
來自一家大的美國銀行的不愿透露姓名的IT經理說他們已經采取措施來解決這個問題����。他們將自己的存儲系統(tǒng)全都有效地隔離出來?����!巴饨鐭o法進入到我們的存儲網絡��,我們甚至不允許(第三方)廠商筆記本接入我們的網絡�����?����!彼忉屨f�����。
那位IT經理說����,至關緊要的是用戶也不能直接訪問存儲網絡。這就是說�,即使密碼泄露了,數據丟失的危險也能降到最低���。
他還補充說現在很多銀行主要是針對網上銀行客戶來進行反釣魚攻擊��。銀行希望對這些客戶采取所謂的“雙重認證”來驗證身份�����。
這樣一來��,用戶如果要訪問他們在線帳戶��,不僅需要密碼�����,還需要所謂的“硬件憑證”����。這些硬件憑證,比如美國RSA Security公司的SecureID Token����,已經在很多行業(yè)被用于認證用戶身份����。
舉個例子�����,這位IT經理說他們公司的員工已經開始使用RSA公司的SecureID Token以及傳統(tǒng)的密碼來訪問銀行的某些最高級別的安全系統(tǒng)����。
安全巨頭賽門鐵克公司最近收購了反釣魚式安全工具和安全分析軟件公司WholeSecurity以增強反釣魚安全技術����。另外,賽門鐵克還發(fā)布了今年上半年全球安全威脅報告���,據報告顯示���,反釣魚式攻擊呈上升勢頭。每天的釣魚攻擊信息由過去的299萬個增長到了現在的570萬個��。由賽門鐵克檢測的125份郵件中就有一份是釣魚式信息�����。
但是Kantor警告說:“我們看到網絡釣魚者傾向于攻擊規(guī)模較小但具有高價值的團體��。比如商業(yè)銀行的高價值客戶���?���!?/P>
